VBA RAT

Descrição do VBA RAT

Um VBA RAT completo foi detectado como parte de uma nova operação de ataque contra entidades russas e pró-russas. Até agora, o autor da ameaça não foi determinado de forma conclusiva e certas evidências apontam que pode ser um grupo de hackers recém-surgido. A ameaça de malware é entregue às máquinas da vítima por meio de um documento de isca contendo um manifesto sobre a Crimeia, uma região fortemente contestada entre a Rússia e a Ucrânia.

Um Documento, Dois Vetores de Ataque

O documento de isca é denominado 'Manifest.docx' (Манифест.docx). Ele tenta buscar e entregar a carga útil final - o VBA RAT, por meio não de um, mas de dois vetores de infecção separados. Primeiro, um modelo baseado em un macro apontando para uma URL com um modelo remoto que carrega a carga útil do RAT. O segundo vetor abusa de uma exploração do Internet Explorer designada como CVE-2021-26411. A vulnerabilidade permite que o agente da ameaça execute um código de shell que implanta a mesma ameaça VBA RAT.

Capacidades Prejudiciais

O VBA RAT está equipado com todos os recursos esperados nesse tipo de malware. Ele coleta dados sobre a vítima e os exporta para o invasor. Ele pode manipular os arquivos (excluir, fazer upload ou download) armazenados nos sistemas comprometidos, ler discos e outras informações do sistema. O RAT também pode executar comandos arbitrários. Para evitar a detecção fácil por produtos anti-malware, a ameaça evita as chamadas API típicas usadas para a execução do shellcode. Em vez disso, o VBA RAT recorre ao EnumWindows para atingir os mesmos objetivos ameaçadores.